La vulnerabilidad CVE-2021-47961, catalogada con una severidad ALTA (CVSS 8.1), expone un fallo crítico en el almacenamiento de credenciales del cliente SSL VPN de Synology. Este defecto de seguridad permite a atacantes remotos acceder al código PIN del usuario debido a un almacenamiento en texto plano, lo que podría derivar en la configuración no autorizada de la VPN y la interceptación del tráfico posterior si se combina con interacción del usuario.
Puntos clave
- Severidad alta: La vulnerabilidad tiene una puntuación CVSS de 8.1, lo que la clasifica como de riesgo elevado.
- Vector de ataque: Un atacante remoto sin privilegios puede explotarla si el usuario interactúa con un contenido manipulado.
- Impacto: Confidencialidad e integridad altas (C:H/I:H), pudiendo resultar en el robo de credenciales y la redirección del tráfico VPN.
- Producto afectado: Synology SSL VPN Client en versiones anteriores a la 1.4.5-0684.
- Estado del exploit: A día de hoy, no se ha confirmado la existencia de un exploit público, pero el riesgo es latente.
| CVE ID | CVE-2021-47961 |
| Severidad (CVSS) | 8.1 – ALTA |
| Vector CVSS | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
| Productos afectados | Synology SSL VPN Client (versiones anteriores a 1.4.5-0684) |
| Exploit público | No |
| Fecha publicación | 10 de abril de 2026 |
Desde nuestro análisis en Iberia Intel, consideramos que esta CVE-2021-47961 representa un riesgo significativo para las organizaciones que utilizan el cliente VPN de Synology para el acceso remoto a sus redes. El núcleo del problema reside en que la aplicación almacena localmente el PIN de acceso en texto plano, sin cifrado alguno. Si un atacante consigue acceso al sistema del usuario —mediante malware, phishing o una sesión física—, podrá extraer esta credencial y usarla para modificar la configuración de la VPN, desviando potencialmente todo el tráfico hacia un servidor controlado por él.
Sistemas y versiones afectadas por CVE-2021-47961
Según el aviso de seguridad oficial de Synology (SA-26-05), la vulnerabilidad afecta exclusivamente al software cliente SSL VPN de Synology, no a los servidores VPN que la empresa comercializa en sus dispositivos NAS. La tabla siguiente detalla el alcance exacto.
| Producto | Versiones vulnerables | Versión parcheada |
|---|---|---|
| Synology SSL VPN Client | Todas las versiones anteriores a 1.4.5-0684 | 1.4.5-0684 y superiores |
Es importante verificar la versión instalada en cada estación de trabajo. Este cliente se distribuye para sistemas operativos Windows y macOS. Las organizaciones que tengan desplegado este software en un parque de ordenadores deben priorizar su inventario y actualización.
¿Cómo se explota esta vulnerabilidad en la práctica?
El vector de ataque requiere que el usuario ejecute una acción engañosa, como hacer clic en un enlace malicioso o abrir un archivo manipulado. Sin embargo, una vez lograda la ejecución de código en el contexto del usuario, el atacante puede buscar en el sistema los archivos de configuración del cliente VPN donde se almacena el PIN. Al obtenerlo en texto claro, puede reconfigurar la conexión VPN para apuntar a un servidor malicioso, capturando así todas las credenciales y datos que transiten por ese túnel.
Cómo parchear la vulnerabilidad CVE-2021-47961: guía paso a paso
La remediación es directa: actualizar el Synology SSL VPN Client a la versión 1.4.5-0684 o posterior. Synology ha publicado la versión corregida en su centro de descargas. A continuación, detallamos el proceso para ambos sistemas operativos.
Paso 1: Descargar la versión parcheada
Accede a la página oficial de descargas de Synology para el SSL VPN Client. Selecciona tu sistema operativo (Windows o macOS) y descarga el instalador de la versión 1.4.5-0684 o superior. Asegúrate de que la fuente es legítima para evitar suplantaciones.
Paso 2: Instalar la actualización en Windows
En sistemas Windows, cierra completamente el cliente VPN si está en ejecución. Ejecuta el instalador descargado con permisos de administrador. El proceso es convencional; acepta los términos y sigue los pasos del asistente. Tras la instalación, reinicia el ordenador para asegurar que todos los componentes se carguen correctamente.
# No hay comandos de línea para la actualización en Windows, es un proceso gráfico.
# Verifica la versión instalada abriendo el cliente y yendo a Ayuda → Acerca de.Paso 3: Instalar la actualización en macOS
Para macOS, el proceso es similar. Cierra la aplicación, arrastra el nuevo icono del cliente a la carpeta de Aplicaciones, reemplazando la versión anterior. Puede que sea necesario conceder permisos de accesibilidad en Preferencias del Sistema → Seguridad y Privacidad.
Paso 4: Verificar la aplicación del parche
Una vez instalado, abre el cliente SSL VPN de Synology. Navega al menú de ayuda (generalmente «Ayuda» o «About») y confirma que la versión mostrada es al menos la 1.4.5-0684. Este es el indicador clave de que la actualización se ha aplicado con éxito.
Medidas adicionales de mitigación para CVE-2021-47961
Si, por razones operativas, no puedes aplicar el parche de inmediato, existen workarounds que pueden reducir la superficie de ataque. Estas medidas no sustituyen a la actualización, pero proporcionan una capa de defensa temporal.
Workaround 1: Deshabilitar el cliente VPN si no es esencial
Valora si el uso del cliente SSL VPN de Synology es crítico para las operaciones diarias. Si existen alternativas —como el uso de la VPN integrada en el sistema operativo o soluciones de terceros más actualizadas—, considera desinstalar temporalmente el software afectado hasta que pueda ser parcheado.
Workaround 2: Restringir el acceso de red y aplicar el principio de menor privilegio
Limita los permisos de los usuarios que ejecutan el cliente VPN. Asegúrate de que operan con cuentas estándar, sin privilegios de administrador, para dificultar la escalada de privilegios en caso de compromiso. Además, implementa reglas de firewall que restrinjan el tráfico de salida del cliente solo a los servidores VPN corporativos autorizados, bloqueando conexiones a direcciones IP no fiables.
Workaround 3: Implementar autenticación multifactor (MFA)
Aunque este workaround no soluciona la vulnerabilidad de almacenamiento en texto plano, añadir un segundo factor de autenticación para el acceso a la VPN mitiga el riesgo de que unas credenciales robadas sean suficientes para tomar el control de la sesión. Configura MFA en el servidor VPN de Synology o en tu solución de acceso remoto.
- Verifica que la versión del cliente es 1.4.5-0684 o superior en todos los equipos.
- Busca y elimina cualquier archivo residual de configuración que pudiera contener el PIN en texto plano (por ejemplo, en %APPDATA% o ~/Library).
- Revisa los logs del sistema y del cliente VPN en busca de actividades sospechosas previas al parche.
- Consulta el aviso oficial de Synology (SA-26-05) y el registro NVD para actualizaciones.
Como analistas de ciberinteligencia, recomendamos tratar esta CVE-2021-47961 con seriedad. Aunque no se han reportado explotaciones activas a gran escala, el patrón de almacenamiento inseguro de credenciales es un error básico que los actores de amenazas buscan activamente. La intercepción del tráfico VPN puede dar lugar a brechas de datos masivas, especialmente en entornos donde se accede a sistemas críticos de forma remota. La actualización debe ser prioritaria en cualquier estrategia de gestión de vulnerabilidades.
Referencias y recursos oficiales
- NVD – CVE-2021-47961 — Base de datos nacional de vulnerabilidades (NIST)
- Referencia: synology.com
Recursos y fuentes oficiales:
¿Tu organización está preparada ante las ciberamenazas?
En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.